Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

ssdeep

Avatar for miyamoto miyamoto
May 24, 2017
Technology
0
1.4k

 ssdeep

about ssdeep fuzzyhash

Avatar for miyamoto

miyamoto

May 24, 2017
Tweet

Other Decks in Technology

See All in Technology
mairuでつくるクレデンシャルレス開発環境 / Credential-less development environment using Mailru
Avatar for Issei Naruta mirakui
5
530
OCI Oracle Database Services新機能アップデート(2025/09-2025/11)
Avatar for oracle4engineer oracle4engineer
PRO
1
210
Jakarta Agentic AI Specification - Status and Future
Avatar for Reza Rahman reza_rahman
0
110
Debugging Edge AI on Zephyr and Lessons Learned
Avatar for misoji engineer iotengineer22
0
220
AIの長期記憶と短期記憶の違いについてAgentCoreを例に深掘ってみた
Avatar for やくも yakumo
4
380
今年のデータ・ML系アップデートと気になるアプデのご紹介
Avatar for Nayuta S. nayuts
1
440
生成AI活用の型ハンズオン〜顧客課題起点で設計する7つのステップ
Avatar for Nakao Yushin yushin_n
0
230
今からでも間に合う!速習Devin入門とその活用方法
Avatar for Izumu KUSUNOKI ismk
1
740
Database イノベーショントークを振り返る/reinvent-2025-database-innovation-talk-recap
Avatar for emi emiki
0
220
Power of Kiro : あなたの㌔はパワステ搭載ですか?
Avatar for r3_yamauchi r3_yamauchi
PRO
0
160
re:Invent2025 コンテナ系アップデート振り返り(+CloudWatchログのアップデート紹介)
Avatar for 枡川健太郎 masukawa
0
380
Challenging Hardware Contests with Zephyr and Lessons Learned
Avatar for misoji engineer iotengineer22
0
230

Featured

See All Featured
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.2k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
54k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
970
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.6k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.5k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
25k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.7k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.2k

Transcript

  1. ファジーハッシュについて 宮本

  2. ファジーハッシュ:類似マルウェアへ対応するために 従来のハッシュの問題点: 4バイトだけ異なる2つのマルウェア検体。ハッシュを計算すると全く違う値。 4バイトをランダムに書き換えて新しいマルウェアを大量に作成する場合、 作成可能なハッシュの異なるマルウェアの数は、2564=約43億通り。 →ハッシュ値を使ったレピュテーションで対応するのは困難→ファジーハッシュ 2

  3. VirusTotalでもファジーハッシュ ファイルの類似を調べる ssdeep:ファジーハッシュ →ファイルの全体的な類似 authentihash,imphash →実行ファイルの部分一致 ssdeep 3

  4. ssdeep値のフォーマット 「:」が区切り目 「:」が区切り目 3×2nで表すブロックサイズ 64未満分割チェックサム連結値 32未満分割チェックサム連結 値 イメージ 図 ファイルを分割し、各分割ブロックごとに1文字のチェックサムを出して連結する

    ファイルが類似していると、結果も類似するという特徴 ファイル チェックサム 連結値 4

  5. 使用例 4つのマルウェア検体(イメージ) ほぼ共通だけど、最後の0.3%だけランダム文字列な4検体 5

  6. VirusTotalで「追加情報」を確認してみると ファイル1 ファイル2 ファイル3 ファイル4 6

  7. ssdeepだけ拡大 ファイル1のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFp: V8p57YZ8jUMlrb3e807QPxjy1 ファイル2のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFR: V8p57YZ8jUMlrb3e807QPxjyF ファイル3のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFH: V8p57YZ8jUMlrb3e807QPxjyr

    ファイル4のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFN: V8p57YZ8jUMlrb3e807QPxjyB 「1ブロック違うだけで他は共通の類似ファイル:98%一致」という比較結果 赤字は異なる部分 7

  8. 8 機械学習を利用したマルウェア検知 実行前にファイルを静的解析し、機械学習で構築した既知のマルウェア 情報データベースと比較し、類似している物を検知しブロックする ファイルから抽出する情報: • ファイルタイプ、証明書、アイコン、画面リソース、テキスト • パッカー、コンパイラ、コンパイル時間、エントリーポイント •

    インポートハッシュ(関数呼出しの一致) • ファジーハッシュ(ファイル類似性) Suspicious Origin Packed or Encrypted Suspicious URL New Application Suspicious Email Low Age Certificate Document Type Low Prevalence High # of Rapid Changes Suspicious Email Link クラウドに集めた マルウェアの情報と 類似しているか比較